BC/NW 2009; №2 (15):12.4

 

ПОДГОТОВКА СПЕЦИАЛИСТОВ ПО ПРИКЛАДНОЙ ИНФОРМАТИКЕ В ОБЛАСТИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

 

Хорев П.Б.

 

(ГОУВПО «Московский энергетический институт (технический университет)», Россия)

 

В государственном образовательном стандарте специальности «Прикладная информатика» в федеральном компоненте цикла общепрофессиональных дисциплин введена дисциплина «Информационная безопасность». В гуманитарно-прикладном институте МЭИ уже несколько лет ведется подготовка специалистов по специальностям «Прикладная информатика в экономике» и «Прикладная информатика в менеджменте». В этом докладе будет обобщен опыт подготовки таких специалистов в области информационной безопасности с использованием продуктов и технологий компании Oracle и Лаборатории Касперского.

 

Защищенностью информации называют ее свойство, заключающееся в поддержании на заданном уровне тех параметров информационной системы, которые характеризуют установленный статус хранения, обработки и использования информации. Защищенность – один из обязательных показателей качества информации. Характеристиками защищенности информации могут являться ее конфиденциальность, целостность и доступность.

Основными способами защиты информационных систем являются

- идентификация и аутентификация их пользователей и активизированных ими процессов;

- авторизация субъектов (определение прав доступа субъекта к объекту с информацией ограниченного доступа);

- аудит событий, имеющих отношение к безопасности информационной системы.

Выполняемое в рамках авторизации субъекта разграничение его доступа к объектам информационной системы может основываться как на определении прав доступа к объектам, так и на шифровании данных. Во втором случае доступ к объекту информационной системы предоставляется пользователям (процессам), обладающим необходимыми для расшифрования и (или) шифрования данных криптографическими ключами.

Способы аутентификации (иногда их называют факторами аутентификации) пользователей в информационной системе можно объединить в три группы. К первой группе относятся способы аутентификации, основанные на том, что пользователь знает некоторую подтверждающую его подлинность информацию (владеет секретом – паролем, правилом вычисления отклика на случайный запрос). Вторую группу способов аутентификации образуют способы, основанные на том, что пользователь имеет некоторый материальный объект, который может подтвердить его подлинность (например, пластиковую карту с идентифицирующей пользователя информацией). К третьей группе способов аутентификации относятся способы, основанные на таких данных, которые позволяют однозначно считать, что пользователь и есть тот самый субъект, за которого себя выдает (статические и динамические биометрические данные: отпечатки пальцев и радужная оболочка глаза, тембр голоса и особенности клавиатурного почерка и т.п.).

Выбор способа аутентификации в конкретной информационной системе определяется  выявленными рисками и допустимыми для организации затратами (например, потенциальные потери от слабостей парольной аутентификации могут быть явно больше величины затрат на использование смарт-карт). В информационных системах с двух или трехфакторной аутентификацией (системах с сильной или строгой аутентификацией) преимущества одного способа аутентификации могут блокировать недостатки другого (например, аутентификация на основе устройств, доступ посторонних к которым усложняется использованием PIN-кодов).

Каждому пользователю в системе управления базами данных (СУБД) Oracle [1] после его регистрации назначается профиль, определяющий набор параметров для ограничения доступа к ресурсам базы данных. Среди них есть и параметры, с помощью которых можно повысить достоверность парольной аутентификации:

- максимальное количество попыток входа и количество дней, на которые будет заблокирована учетная запись пользователя при превышении допустимого числа неудачных попыток входа (обеспечивают защиту от подбора пароля в интерактивном режиме);

- срок действия текущего пароля пользователя и количество дней, которые даны пользователю на изменение своего пароля перед истечением его срока действия (обеспечивают защиту от длительного использования одного и того же пароля);

- количество дней, в течение которых пароль не может быть использован повторно, и количество изменений пароля, требующихся перед повторным использованием пароля (обеспечивают защиту от фиктивного изменения пароля для возвращения к «старому» паролю при истечении его срока действия).

После каждой неудачной попытки входа пользователя Oracle экспоненциально увеличивает задержку перед предоставлением возможности для новой попытки. После успешного подключения пользователя счетчик неудачных попыток входа сбрасывается в 0. Администратор может «вручную» установить, что срок действия пароля пользователя истек. После этого пользователь должен будет изменить пароль перед следующим подключением к базе данных. Эта возможность полезна, когда необходимо обеспечить обязательную смену начального пароля пользователя при его первом входе в систему.

В Oracle также имеется возможность верификации паролей пользователей баз данных (т.е. проверку их способности противостоять атакам на механизм аутентификации).  Чтобы пройти проверку, пароль должен соответствовать следующим требованиям:

- пароль должен содержать не менее 8 и не более 30 символов;

- пароль не должен совпадать с именем пользователя (в том числе записанным в обратном порядке или с добавленными в конце цифрами);

- пароль не совпадает с именем сервера (в том числе с добавленным числом от 1 до 100);

- пароль не является слишком простым (например, welcome1, database1, account1, user1234, password1, oracle, oracle123, computer1, abcdefg1 или change_on_install);

- пароль включает в себя хотя бы один цифровой и один алфавитный символ;

- новый пароль отличается от предыдущего хотя бы тремя буквами.

В Oracle для аутентификации пользователей при удаленном доступе к базе данных возможна установка защищенного соединения по протоколу SSL [2]. Создание учетной записи для такого пользователя, называемого внешним пользователем (в отличие от локального, аутентифицируемого с помощью пароля) осуществляется оператором CREATE USER с опцией IDENTIFIED EXTERNALLY AS 'имя владельца сертификата открытого ключа'.

При указании в операторе CREATE USER опции IDENTIFIED GLOBALLY AS 'имя учетной записи пользователя в формате X.509 службы каталога предприятия' создается учетная запись глобального пользователя, аутентификация которого возможна при установке службы Oracle Internet Directory и позволяет использовать в этой процедуре выдаваемые пользователям устройства (смарт-карты, USB-ключи – токены). В этом случае при подключении пользователя к базе данных также устанавливается SSL-соединение, причем сертификаты открытых ключей пользователей и связанные с ними закрытые ключи хранятся в защищенной от несанкционированного чтения памяти устройства. Доступ к закрытому ключу пользователя становится возможным только после ввода им правильного PIN-кода.

В СУБД Oracle разграничение доступа (авторизация) пользователей включает в себя два процесса:

- разрешение доступа к данным, их обработке и изменению только уполномоченным пользователям;

- установка ограничений на совершение пользователями определенных действий.

Система разграничения доступа реализована в Oracle с помощью привилегий и ролей. Существуют наборы предопределенных привилегий и ролей, но пользователи могут создавать собственные роли и управлять процессом их назначения другим пользователям. Возможно и назначение одних ролей другим, создавая иерархию ролей. Реализованная в Oracle ролевая модель разграничению доступа к объектам позволяет разделить обязанности между создателем ролей и диспетчером ролей, а также более точно связать права доступа пользователей к объектам информационной системы с их обязанностями в организации, исключить избыточность полномочий, возникающую при добавлении пользователя в ту или иную группу.

Привилегия в Oracle – это право на выполнение определенного типа операторов языка SQL или получения доступа к объектам других пользователей. Привилегии могут назначаться как пользователям, так и ролям (во втором случае имеет место так называемая поименованная группа привилегий). Роль представляет собой именованную группу привилегий. Роль может быть назначена пользователю или другой роли. Целями создания и использования ролей могут быть управление привилегиями на уровне приложений базы данных и (или) управление привилегиями на уровне групп пользователей.

После установки Oracle автоматически создаются предопределенные роли. Назначать и отзывать привилегии и роли предопределенным ролям можно затем так же, как и вновь создаваемым ролям. При создании роли оператором CREATE ROLE может быть указан способ авторизации пользователя перед тем, как ему будет разрешена эта роль (опция IDENTIFIED). Роль может быть авторизована следующими способами:

- паролем внутри базы данных;

- приложением с помощью специализированных пакетов;

- внешними источниками (операционной системой, сетью и т.п.);

- глобальным сервисом каталогов организации.

В СУБД Oracle возможно использование прозрачного («невидимого» для пользователей) шифрования данных. К достоинствам этого средства защиты относится:

- администратор безопасности информационной системы может быть уверен, что конфиденциальные данные будут защищены даже в том случае, когда носители данных или файлы с данными будут похищены;

- не требуется создание триггеров или представлений для расшифрования данных;

- пользователи не обязаны знать о факте хранения данных в зашифрованном виде (для расшифрования данных от них не потребуется никаких действий);

- не требуется модификация приложений, обрабатывающих зашифрованные данные (операциями шифрования и расшифрования управляет база данных).

Наряду с защитой информационных систем от несанкционированного чтения и изменения данных со стороны пользователей необходимо обеспечить и защиту таких систем от вредоносного программного обеспечения (ПО). В этом случае конкретный ущерб пользователям и (или) владельцам информационных систем может заключаться в следующем:

- утечке и (или) потере ценной информации (в т.ч. финансовой);

- нештатном поведении установленного в системе программного обеспечения;

- резком росте входящего и (или) исходящего трафика;

- замедлении или полном отказе работы компьютерной сети;

- потере рабочего времени сотрудников организации;

- доступе нарушителя к ресурсам корпоративной компьютерной сети;

- риске стать жертвой мошенничества.

В последнее время наблюдается криминализация индустрии создания вредоносных программ, выражающаяся в следующем [3]:

- похищении конфиденциальной информации (коммерческой тайны, персональных данных);

- создании зомби-сетей («ботнет»), предназначенных для рассылка спама, распределенных атак с вызовом отказа в обслуживании (DDoS-атак), внедрения троянских прокси-серверов;

- шифровании пользовательской информации с последующим шантажом и требованием выкупа;

- атаках на антивирусные продукты;

- так называемом флашинге (постоянном отказе в обслуживании – Permanent Denial of Service, PDoS).

После волны почтовых вирусов и вирусов в сценариях теперь одним из самых популярных способов распространения вредоносных программ становятся флэш-диски, подключаемые к компьютеру с помощью USB. Это стало возможным благодаря слабости операционной системы Windows, которая по умолчанию автоматически запускает файл автозапуска autorun.inf со сменного накопителя.

 

Постоянное совершенствование методов и средств, применяемых нарушителями для  атак на информационные системы, требует и постоянного развития содержания дисциплины «Информационная безопасность». В этой связи весьма перспективно отражение в содержании лекций и лабораторного практикума программных продуктов таких производителей как компания Oracle и Лаборатория Касперского – их основных возможностей и методов эффективного использования.

Литература

1.     Oracle Database Security Guide 11g Release 1 (11.1). http://download. oracle.com/docs/cd/B28359_01/network.111/b28531/toc.htm.

2.     Смит Р.Э. Аутентификация: от паролей до открытых ключей. М.: Издательский дом «Вильямс», 2002.

3.     Лаборатория Касперского. Вредоносное ПО и методы борьбы с ним. Материалы семинара «Основы информационной безопасности» 16-17 декабря 2008 г. https://kaspersky. webex.com/kaspersky/k2/e.php?AT=RINF&recordingID=18643762.